The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Tor и Firefox не подвержены атаке против SSL/TLS

28.09.2011 15:26

Разработчики Firefox проанализировали подверженность браузера недавно анонсированному методу атаки против SSL/TLS, позволяющему на промежуточном шлюзе организовать перехват передаваемого в рамках зашифрованного соединения Cookie с параметрами аутентификации пользовательской сессии. В итоге, был сделан вывод, что несмотря на использование TLS 1.0, Firefox не подвержен данной проблеме, так как без задействования дополнительных плагинов невозможно обеспечить необходимые для проведения атаки условия (полный контроль за содержимым соединения). Тем не менее, сообщается, что атака теоретически может быть совершена в случае наличия у пользователя Java-плагина. Поэтому в настоящее время разработчики рассматривают возможность отключения Java-плагина для существующих установок.

Разработчики проекта Tor также опубликовали заметку в которой подробно разобрали принцип совершения атаки и пришли к выводу, что при использовании приложений от проекта Tor пользователи защищены от данного вида атаки. В частности, в Tor применяются дополнительные методы рандомизации, а именно используется возможность библиотеки OpenSSL по вставке пустых фрагментов перед отправкой каждой записи.

Браузер Chrome частично подвержен уязвимости, но проблемы будут решены в ближайшем обновлении. Серверы Google не подвержены проблеме, так как не используют режим CBC и применяет шифр RC4 вместо AES (атака возможна только при использовании CBC в комбинации с AES). В Chrome для полного контроля за передаваемыми через SSL данными можно использовать API WebSockets, поддержка которого по умолчанию активирована в последнем выпуске Chrome 14. Но более простым способом выглядит использование функций таких плагинов как Java. Возможность использования Java подтверждена создателями метода атаки, но по умолчанию в Chrome блокируется использование плагина Java.

Сама по себе атака достаточно сложна и требует получения контроля за промежуточным шлюзом и наличия высокоскоростного канала связи с жертвой. Подобных условий можно достичь получив контроль за используемой жертвой точкой беспроводного доступа, но по мнению разработчиков Chrome нет смысла в проведении столь сложной атаки, когда можно использовать более легкие способы - например эксплуатировать критическую уязвимость во Flash или использовать атаку SSL stripping (в HTTP трафике осуществляется подмена HTTPS-ссылок) при получения контроля над шлюзом.

Также упоминается о процессе разработки обходных путей для защиты продуктов, использующих SSL 3.0 и TLS 1.0. TLS 1.1 и TLS 1.2 не подвержены проблеме, но несмотря на то, что TLS 1.1 был представлен в 2006 году, в настоящее время он до сих пор не поддерживается большинством типовых SSL/TLS библиотек. Кроме того, даже повсеместное внедрение TLS 1.1/1.2 не смогло бы решить проблему, так как все браузеры поддерживают автоматический откат до использования SSL 3.0 при работе с проблемными серверами. Даже если клиент и сервер поддерживают TLS 1.1, злоумышленник может легко создать ситуацию при которой вместо TLS 1.1 будет использован SSL 3.0.

Изначально был придуман простой и эффективный метод защиты - достаточно добавить пустой блок перед каждой передаваемой порцией данных, что создаст необходимый уровень рандомизации, достаточный для того чтобы атака оказалась неэффективной. Добавив в один из выпусков Chrome тестовый код для оценки работы данного метода, разработчики пришли к выводу, что к сожалению его использовать нельзя, так как в сети оказалось достаточно много проблемных реализаций SSL/TLS, которые некорректно реагировали на наличие подобных пустых блоков.

Второй обходной путь защиты, который имеет меньше несовместимостей с проблемными реализациями SSL/TLS, в настоящее время проходит тестирование в dev- и beta-ветках Chrome и скоро будет задействован в стабильной версии браузера. Суть метода в отправке только одного байта данных в первой зашифрованной CBC-записи, что приведет к возможности перехвата атакующим только одного байта. Метод позволит блокировать атаки, совершаемые с использованием протокола WebSockets, но не поможет от использования сторонних плагинов для проведения атаки.

Компания Microsoft также представила свой план решения проблемы, который связан с использованием в своих серверных продуктах в первую очередь алгоритма RC4 и протокола TLS 1.1. В настоящее время уже выпущен специальный инструментарий для активации поддержки TLS 1.1 в Internet Explorer и серверном ПО Microsoft.

  1. Главная ссылка к новости (https://blog.mozilla.com/secur...)
  2. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31883-ssl
Ключевые слова: ssl, tls, security, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 16:38, 28/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > и применяет шифр RC4

    ...у которого своих проблем хватает, как то утечка ключевого материала в начальных байтах потока. По поводу чего RC4 не советуют в новых дизайнах а тем где он нужен - советуют скипнуть первые 1024 байта от его PRNG генератора, и ксорить уже с дальнейшим выводом оного - тогда проблема не возникает. Торент кстати так и делает, честно скипая. А в SSL до этого скипания 1024 не-совсем-рандомных байтов доперли? А то вроде его разрабатывали еще до того как утечка ключевых байтов была засечена.

     
     
  • 2.12, Truelove (?), 21:22, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это называеться RC4-drop[n] (MARC4) и уже давно применяеться..
     

  • 1.2, szh (ok), 17:18, 28/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Поэтому в настоящее время разработчики рассматривают возможность отключения Java-плагина для существующих установок.

    Давно пора лишний вектор атаки убрать по умолчанию.

     
  • 1.3, vayerx (ok), 17:34, 28/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    печалька: интернет-банкинг всех^Wнекоторых банков живет аккуратно на java-плагине
     
     
  • 2.4, Xasd (ok), 17:50, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    да...

    ...только точка наложения печальки -- здесь именно в том что эти банки реализованны на Java-плугине (а не в том что Java-плугин подвержен какойто-там *очередной* уязвимости...)

    так как тут уж особого секрета нет что постоянно в этих плугинах находят те-или-иные дыры :-) , тоже мне новость :-)

    установил [какойнибудь] плугин(?) -- получи новую дыру :-D

    # p.s.: а некоторые банк-клиенты так вообще работают как native-приложения... для Microsoft Windows.... так чтож теперь -- начнём обсуждать безопасность Windows-компьютеров? :-) :-) все помнят неособо-давний случай когда нашли дыру в обработчике-значков-ярлыков, когда принеся ярлычок на флэшке можно было заразить комп (или засунув ярлык внутрь Microsoft-Word-документа, как какойто-там-встроенный-объект)?

     
     
  • 3.5, Аноним (-), 18:41, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    "Если бы строители строили свои здания, как программисты пишут свои программы, первый залетевший дятел разрушил бы цивилизацию". (С)
     
     
  • 4.15, Аноним (-), 02:20, 29/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >"Если бы строители строили свои здания, как программисты пишут свои программы, первый
    >залетевший дятел разрушил бы цивилизацию". (С)

    Хватит уже с этим шаблоном всех мазать. Не все программисты одинаковые и не весь софт плохой. (Далее должен последовать ответ от любителей "жить просто": "Всех грести под одну гребенку удобнее, чем рассматривать много случаев."

     
  • 3.6, Lain_13 (?), 18:55, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В крайнем случае (и вообще-то так правильней) можно завести отдельный профиль или даже браузер для работы с банком. Java не столь вотстребована, что б с ней ходить по всем сайтам.
     
  • 2.7, Lain_13 (?), 18:56, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > печалька: интернет-банкинг всех^Wнекоторых банков живет аккуратно на java-плагине

    Это ещё хорошие банки. У некоторых интернет-банкинг до сих пор живёт на ActiveX…

     
  • 2.8, Anonplus (?), 20:47, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Завести второй профиль с включенной явой и использовать его ТОЛЬКО для работы с банком - это, конечно, невозможно.
     
     
  • 3.10, vayerx (ok), 20:59, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    при чем тут второй профиль, если нужно безопасное соединение с банком? рано или поздно откроешь случайно стороннюю страничку не в том браузере и привет.
    прийти ногами в банк понадежнее будет
     
     
  • 4.16, Frank (ok), 16:19, 29/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вдруг тебе денег фальшивых дадут в банке? Натуральный обмен надёжнее будет...
     
     
  • 5.17, anonymous (??), 16:21, 29/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вдруг тебе денег фальшивых дадут в банке? Натуральный обмен надёжнее будет...

    а если тушёнка просроченая?

     
     
  • 6.18, ваноним (?), 17:10, 29/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    это хорошо, если тушенкой брать, а то можно и по вен-диспансерам набегаться
     

  • 1.9, anonymous (??), 20:50, 28/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хм. то есть, криптографически более сложный (и стойкий) метод на эллиптических кривых заменяют на намного более простой RC4 — и ОПА! внизапна, улучшается секурность.

    только я вижу в этом какую-то на…ку?

     
     
  • 2.11, Xasd (ok), 21:21, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ...более сложный (и стойкий) метод на эллиптических кривых...

    это вы про AES Rijndael? %) :-)

    ...вообщето алгоритм AES Rijndael -- это шифр простой с алгебраической структоруй... что кстате говоря ставит под сомнение его безопасность :-)

    но что касается темы-новости -- то думаю тут всё дело в CBC-режиме-шифрования (реализованном несовсем правильно), а не в самом шифре

     
     
  • 3.14, anonymous (??), 22:24, 28/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> …более сложный (и стойкий) метод на эллиптических кривых…
    > это вы про AES Rijndael? %) :-)
    > …вообщето алгоритм AES Rijndael — это шифр простой с алгебраической структоруй…

    хм. кажется, да — меня проглючило.

     

  • 1.19, Alexander (??), 13:43, 05/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не очень понятно:
    > частности, в Tor применяются дополнительные методы рандомизации, а именно
    > используется возможность библиотеки OpenSSL по вставке пустых фрагментов перед
    > отправкой каждой записи.
    > достаточно добавить пустой блок перед каждой передаваемой порцией данных, что
    > создаст необходимый уровень рандомизации, достаточный для того чтобы атака
    > оказалась неэффективной. Добавив в один из выпусков Chrome тестовый код для
    > оценки работы данного метода, разработчики пришли к выводу, что к сожалению его
    > использовать нельзя,

    у разработчиков тора и хрома разное содержимое пустых блоков? :)

     
     
  • 2.20, Andrey Mitrofanov (?), 13:45, 05/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, разные методы рандомизации пустых блоков.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру